به دنبال حمله سایبری هالیبرتون، دولت ایالات متحده مشاوره فوری درباره گروه باج افزار RansomHub صادر کرد.

دولت ایالات متحده زنگ خطر را در مورد یک باند جرایم سایبری مهیب به نام RansomHub به صدا درآورده است که گمان می‌رود مسئول یک حمله سایبری پرمخاطب به هالیبرتون، یکی از بزرگترین شرکت‌های خدمات نفتی جهان است. نقض اخیر تهدید فزاینده حملات باج افزار را آشکار کرده است و دولت را وادار به صدور یک توصیه دقیق با هدف محدود کردن فعالیت های شرورانه این گروه کرده است.

Halliburton Hit by RansomHub: A Closer Look

در 21 آگوست، هالیبرتون در پرونده ای به کمیسیون بورس و اوراق بهادار (SEC) فاش کرد که سیستم های آن توسط یک شخص ثالث غیرمجاز در معرض خطر قرار گرفته است. اگرچه این شرکت جزئیاتی در مورد این حمله به اشتراک نمی گذارد، اما به طور گسترده حدس می شود که این حادثه یک عملیات باج افزار باشد. کارشناسان صنعت و منابع معتبر، از جمله محقق باج‌افزار Dominic Alvieri، این حمله را به RansomHub مرتبط می‌دانند، گروهی که به سرعت در دنیای جرایم سایبری شهرت پیدا کرده است.

گزارش‌هایی که در پلتفرم‌هایی مانند Reddit منتشر می‌شوند نشان می‌دهند که RansomHub ممکن است داده‌های حساس هالیبرتون را به سرقت برده باشد و در ازای آن باج حیرت‌انگیز ۴۵ میلیون دلاری را طلب کند. Bleeping Computer نیز از این ادعاها حمایت کرده است و به شاخص های خاص سازش (IoCs) مرتبط با فعالیت های RansomHub اشاره می کند. با این حال، وب‌سایت افشای باج‌افزار، که اغلب برای وادار کردن قربانیان به پرداخت باج استفاده می‌شود، هنوز هالیبرتون را به عنوان قربانی فهرست نکرده است، که نشان می‌دهد ممکن است مذاکرات همچنان ادامه داشته باشد.

مشاوره دولتی: تاکتیک‌ها، تکنیک‌ها و رویه‌های RansomHub

در پاسخ به تهدید فزاینده ناشی از RansomHub، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، دفتر تحقیقات فدرال (FBI)، وزارت بهداشت و خدمات انسانی (HHS)، و مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی (MS-ISAC) یک مشاوره مشترک در مورد فعالیت های این گروه منتشر کرد. این مشاوره بینش های مهمی در مورد تاکتیک ها، تکنیک ها و رویه ها (TTPs) مورد استفاده RansomHub در عملیات خود ارائه می دهد.

طبق گزارش‌ها، از زمان ظهور در فوریه 2024، RansomHub داده‌های بیش از 210 قربانی را هدف قرار داده و به خطر انداخته است. در حال حاضر سایت فاش شده مبتنی بر Tor این گروه 180 قربانی را فهرست کرده است، اما منابع دولتی نشان می دهند که تعداد واقعی به طور قابل توجهی بیشتر است. دسترسی RansomHub در بخش‌های مختلف زیرساخت حیاتی، از جمله آب، فناوری اطلاعات، خدمات دولتی، مراقبت‌های بهداشتی و خدمات اضطراری گسترش می‌یابد. عجیب است که در این توصیه هیچ قربانی بخش انرژی ذکر نشده است، که منجر به این گمانه زنی می شود که حادثه هالیبرتون ممکن است مستقیماً با زمان مشاوره مرتبط نباشد.

تهدید رو به رشد باج افزار: فراخوانی برای هوشیاری

از آنجایی که گروه‌های باج‌افزاری مانند RansomHub به تکامل و گسترش فعالیت‌های خود ادامه می‌دهند، نمی‌توان اهمیت اقدامات امنیت سایبری قوی را نادیده گرفت. توصیه های دولت ایالات متحده به عنوان یادآوری آشکار از نیاز حیاتی سازمان ها برای حفظ هوشیاری و فعال بودن در دفاع در برابر چنین تهدیداتی است.

از سازمان‌ها در همه بخش‌ها، به‌ویژه آن‌هایی که در زیرساخت‌های حیاتی قرار دارند، خواسته می‌شود که آخرین توصیه‌ها را بررسی کنند، اقدامات امنیتی توصیه‌شده را اجرا کنند و نسبت به تاکتیک‌های در حال تحول گروه‌های باج‌افزار هوشیار بمانند. حمله سایبری RansomHub به هالیبرتون بر تأثیر مخربی که باج‌افزار می‌تواند داشته باشد، نه تنها بر شرکت‌های فردی، بلکه بر کل صنایع و کشورها تأکید می‌کند.